Que sont les exploits zero-day et comment fonctionnent-ils ?
Les exploits zero-day ciblent des failles logicielles inconnues des fournisseurs, ne laissant aux défenseurs aucun jour pour réagir. Cet article explique comment ils fonctionnent, qui les achète et pourquoi ils restent la menace la plus dangereuse en matière de cybersécurité.
La faille que personne ne connaît
Chaque logiciel contient des bugs. La plupart sont inoffensifs. Mais occasionnellement, une faille donne à un attaquant la possibilité de prendre le contrôle d'un appareil, de voler des données ou d'installer des outils de surveillance – et le fabricant du logiciel n'en a aucune idée. Cette faille est appelée vulnérabilité zero-day, et le code écrit pour l'exploiter est un exploit zero-day. Le nom reflète une dure réalité : une fois qu'un attaquant frappe, le fournisseur n'a eu « zéro jour » pour préparer un correctif.
Les zero-day se situent au sommet de la hiérarchie des menaces de cybersécurité. Ils contournent les logiciels antivirus, évitent les pare-feu et rendent vulnérables même les systèmes bien corrigés. En 2025, le Threat Intelligence Group de Google a suivi 90 vulnérabilités zero-day exploitées dans la nature – contre 78 l'année précédente – dont près de la moitié ciblant les systèmes d'entreprise, un record absolu.
Comment une attaque zero-day se déroule
Une attaque zero-day suit généralement une séquence que les chercheurs en sécurité appellent la chaîne d'élimination cybernétique. Tout d'abord, les attaquants découvrent une faille inconnue par rétro-ingénierie, fuzzing (tests d'entrée automatisés) ou simplement en examinant le code source. Ensuite, ils construisent un exploit militarisé – souvent un petit morceau de code qui déclenche la vulnérabilité pour obtenir un accès non autorisé.
La livraison se fait par des canaux familiers : un e-mail de phishing, un site web compromis ou un document malveillant. Une fois que l'exploit se déclenche, l'attaquant prend pied – en installant des logiciels malveillants, en escaladant les privilèges ou en ouvrant une porte dérobée pour un accès persistant. Comme il n'existe aucun correctif, les défenses traditionnelles basées sur les signatures sont aveugles à l'attaque.
Les campagnes modernes enchaînent fréquemment plusieurs vulnérabilités. Le kit d'exploit DarkSword, dont le code a été divulgué publiquement en mars 2026, combinait six failles iOS – dont trois zero-day – pour parvenir à une prise de contrôle complète de l'appareil, extrayant les contacts, les messages et les données du trousseau d'iPhones.
Un marché de plusieurs millions de dollars
Les exploits zero-day sont extrêmement précieux. Selon TechCrunch, une chaîne d'exploit iPhone entièrement militarisée peut rapporter 5 à 7 millions de dollars sur le marché libre, tandis que les exploits Android atteignent jusqu'à 5 millions de dollars. Les prix ont été multipliés ces dernières années, car les entreprises renforcent leurs produits, ce qui rend chaque exploit fonctionnel plus rare et plus prisé.
Trois groupes d'acheteurs distincts se disputent ces outils. Les agences de renseignement gouvernementales – les nations des Five Eyes dominant historiquement le marché – achètent des zero-day pour la surveillance et les opérations cybernétiques offensives. Les vendeurs de logiciels espions commerciaux comme NSO Group les stockent pour alimenter des produits tels que Pegasus, qui a été utilisé contre des journalistes, des militants et des personnalités politiques dans le monde entier. Et les organisations criminelles les déploient dans des campagnes de ransomware et de vol de données.
Pourquoi la défense est si difficile
Le principal défi est l'asymétrie : les attaquants n'ont besoin de trouver qu'une seule faille, tandis que les défenseurs doivent protéger des millions de lignes de code. Les recherches de CIQ montrent que les cycles de correctifs d'entreprise prennent 30 à 60 jours, mais les attaquants militarisent régulièrement les vulnérabilités divulguées en moins de 15 jours. Au premier semestre 2025, VulnCheck a constaté que 32 % des vulnérabilités exploitées étaient attaquées le jour même ou avant la divulgation publique.
Étant donné que vous ne pouvez pas corriger ce que vous ne connaissez pas, les organisations s'appuient de plus en plus sur la détection comportementale – en surveillant ce que le logiciel fait réellement plutôt qu'en faisant correspondre des signatures connues. La segmentation du réseau, les politiques d'accès au moindre privilège et le sandboxing des applications ajoutent d'autres couches de défense. Le mode Isolement d'Apple, par exemple, réduit considérablement la surface d'attaque de l'iPhone en désactivant les fonctionnalités que les attaquants exploitent couramment.
La course à l'armement continue
Les exploits zero-day resteront l'arme la plus puissante de la cybersécurité dans un avenir prévisible. À mesure que les logiciels deviennent plus complexes et que la valeur des données augmente, l'incitation à découvrir – et à vendre – des failles inconnues ne fait que croître. Pour les utilisateurs ordinaires, la meilleure défense est simple : maintenez les appareils à jour, activez les correctifs automatiques et traitez les liens et les pièces jointes inattendus avec suspicion. Dans le monde des zero-day, l'horloge démarre à zéro – et chaque heure sans correctif compte.
