Comment fonctionnent les exploits zero-day et pourquoi ils coûtent des millions

La faille que personne ne connaît

Chaque logiciel est livré avec des bugs. La plupart sont inoffensifs. Mais il arrive qu'une faille permette à un attaquant de contourner la sécurité, de voler des données ou de prendre le contrôle d'un système entier, et personne du côté de la défense ne sait qu'elle existe. Cette faille est appelée vulnérabilité zero-day, et le code écrit pour l'exploiter est un exploit zero-day. Le nom fait référence au fait que le fournisseur de logiciels a eu zéro jour pour corriger le problème parce qu'il ne sait pas encore qu'il existe.

Les zero-day se situent au sommet de la hiérarchie des menaces de cybersécurité. Contrairement aux vulnérabilités connues, qui peuvent être corrigées, un zero-day offre aux attaquants une fenêtre d'opportunité sans défense immédiate. Selon le groupe de renseignement sur les menaces de Google, 90 vulnérabilités zero-day ont été exploitées dans la nature en 2025 seulement, contre 78 l'année précédente.

Comment naît un zero-day

Le cycle de vie commence pendant le développement du logiciel, lorsqu'une erreur de codage, un défaut de conception ou un oubli crée une faiblesse exploitable. La vulnérabilité peut rester dormante pendant des mois ou des années jusqu'à ce que quelqu'un la découvre. Cette personne peut être un chercheur en sécurité, un outil d'analyse automatisé ou un pirate malveillant.

Ce qui se passe ensuite dépend de qui la trouve en premier. Le cycle de vie se déroule en six étapes :

1. Introduction — Une faille est codée par inadvertance dans le logiciel.
2. Découverte — Un chercheur ou un attaquant identifie la faiblesse.
3. Exploitation — Si les attaquants la trouvent en premier, ils construisent et déploient un exploit avant que quiconque d'autre ne le sache.
4. Divulgation — La faille est signalée au fournisseur (divulgation responsable) ou exposée publiquement.
5. Publication du correctif — Le fournisseur développe et publie une mise à jour de sécurité.
6. Adoption du correctif — Les organisations testent et déploient le correctif sur leurs systèmes.

L'écart entre l'introduction et l'application généralisée du correctif, connu sous le nom de fenêtre de vulnérabilité, est en moyenne d'environ 312 jours, selon une étude de sécurité menée par Oligo. Même après la publication d'un correctif, les organisations mettent généralement de 60 à 150 jours pour le déployer, ce qui laisse une longue traîne d'exposition.

Qui achète et vend des zero-day

Il existe un marché florissant pour les exploits zero-day, qui englobe des courtiers légitimes, des gouvernements et des forums clandestins criminels. Les prix reflètent la valeur de la cible et la fiabilité de l'exploit. Un exploit zero-click capable de compromettre un iPhone (ne nécessitant aucune interaction de l'utilisateur) peut atteindre jusqu'à 7 millions de dollars, selon les prix publiés par le courtier Crowdfense. Les équivalents Android coûtent jusqu'à 5 millions de dollars. Même un exploit de navigateur ou de messagerie peut valoir 500 000 dollars.

Les acheteurs comprennent les agences de renseignement à la recherche d'outils de surveillance, les fournisseurs de logiciels espions commerciaux qui créent des produits comme Pegasus et les syndicats cybercriminels. L'étude de Google de 2025 a révélé que les fournisseurs de surveillance commerciale ont dépassé les groupes traditionnels parrainés par l'État en tant qu'utilisateurs les plus prolifiques de zero-day, tandis que les groupes liés à la Chine sont restés les plus actifs parmi les acteurs étatiques.

Pourquoi les défenses traditionnelles échouent

Les antivirus et les systèmes de détection d'intrusion conventionnels reposent sur des signatures, c'est-à-dire des schémas connus de code malveillant. Un zero-day, par définition, n'a pas encore de signature. Cela le rend invisible aux scanners traditionnels. Les attaquants apprécient les zero-day précisément parce qu'ils contournent les défenses auxquelles les organisations font le plus confiance.

L'évolution vers les cibles d'entreprise aggrave le problème. En 2025, 48 % des zero-day exploités ciblaient les technologies d'entreprise (appliances de sécurité, VPN et équipements de réseau), qui manquent souvent des outils de détection des terminaux installés sur les ordinateurs portables et de bureau.

Comment les organisations se défendent

Étant donné que les zero-day ne peuvent pas être corrigés avant d'être connus, les défenseurs s'appuient sur des stratégies multicouches :

• Programmes de primes aux bugs — Des entreprises comme Google, Apple et Microsoft paient des chercheurs en sécurité pour trouver et signaler les failles avant que les criminels ne le fassent. Le projet Zero de Google a popularisé le délai de divulgation de 90 jours, donnant aux fournisseurs une fenêtre fixe pour corriger avant qu'une vulnérabilité ne soit rendue publique.
• Détection comportementale — Au lieu de faire correspondre les signatures, les outils de sécurité avancés surveillent les comportements inhabituels (trafic réseau inattendu, exécution anormale de processus ou élévation de privilèges) qui peuvent signaler un exploit inconnu.
• Architecture zero-trust — En vérifiant chaque utilisateur et chaque appareil à chaque point d'accès, les organisations limitent les dommages qu'un attaquant peut causer même après avoir violé un système.
• Application rapide des correctifs — Réduire l'écart entre la publication du correctif et son adoption reste l'une des défenses les plus efficaces, et les plus négligées.

Les exploits zero-day ne disparaîtront jamais complètement. Tant que les humains écriront du code, il existera des failles. La course entre les attaquants qui les découvrent et les défenseurs qui les corrigent définit la ligne de front de la cybersécurité moderne, un concours qui se mesure non pas en mois, mais en heures.