剣 KENSAI
← All posts · security · 2026-03-07 · 8 min

Rapport Google Zero-Day 2025 : 90 failles exploitées, le ciblage des entreprises explose

L'analyse annuelle des zero-days du Google Threat Intelligence Group révèle 90 vulnérabilités exploitées dans la nature en 2025 — près de la moitié ciblant des produits de sécurité d'entreprise, des appliances réseau et des infrastructures cloud. Les fournisseurs de spyware et les APT liés à la Chine dominent l'attribution. Parallèlement, une violation de données de santé touchant 3,4 millions de patients et de nouvelles campagnes de malware sans fichier démontrent pourquoi l'analyse continue des vulnérabilités n'est plus optionnelle.


📊 Paysage des Zero-Days 2025 selon Google : chiffres clés

💡 Suivi annuel des Zero-Days par le GTIG

Le Google Threat Intelligence Group (GTIG) suit chaque année les vulnérabilités zero-day exploitées dans la nature. Le rapport 2025 marque l'une des années les plus élevées jamais enregistrées, avec 90 zero-days confirmés exploités — contre 73 en 2024 et proche du pic de 97 atteint en 2021.

Le virage vers les entreprises

La découverte la plus significative : environ 45 des 90 zero-days (50 %) ciblaient directement des produits d'entreprise plutôt que des terminaux grand public. Cela représente un changement radical par rapport aux années précédentes, où les navigateurs et les systèmes d'exploitation mobiles dominaient le paysage de l'exploitation des zero-days.

Catégorie Zero-Days (2025) Pourcentage Tendance vs 2024
Produits de sécurité d'entreprise ~20 22 % 🔺 En forte hausse
Appliances réseau/VPN ~15 17 % 🔺 En hausse
Plateformes Cloud/SaaS ~10 11 % 🔺 En hausse
OS mobiles (iOS/Android) ~18 20 % 🔻 En baisse
Navigateurs ~12 13 % 🔻 En baisse
OS de bureau ~15 17 % ➡️ Stable

Attribution : qui exploite les Zero-Days ?

Moins de la moitié des 90 zero-days ont pu être attribués à des acteurs de menace spécifiques, mais les groupes dominants dressent un tableau clair :

⚠️ Principaux exploiteurs de Zero-Days en 2025

1. Fournisseurs commerciaux de spyware — NSO Group, Intellexa et de nouveaux entrants continuent de dominer l'exploitation des zero-days, représentant environ 30 % des zero-days attribués.
2. Groupes APT liés à la Chine — Plusieurs groupes chinois soutenus par l'État (Salt Typhoon, Volt Typhoon, APT41) ont exploité des zero-days ciblant les entreprises, visant les équipements réseau et les plateformes cloud.
3. Groupes liés à la Russie — Principalement concentrés sur des cibles ukrainiennes et européennes, utilisant des zero-days dans les produits Microsoft.
4. Corée du Nord — De plus en plus sophistiquée, ciblant les plateformes de cryptomonnaies et les outils de développement.

Pourquoi les produits d'entreprise sont désormais la cible principale

Plusieurs facteurs expliquent ce virage vers le ciblage des entreprises :


🏥 Violation de données TriZetto : 3,4 millions de patients exposés

⚠️ Exposition massive de données de santé

TriZetto Provider Solutions (filiale de Cognizant) a révélé une violation de données affectant 3 433 965 individus. Les attaquants ont eu un accès non autorisé pendant près d'un an — de novembre 2024 à octobre 2025.

Chronologie de la violation

Date Événement
19 novembre 2024 Début de l'accès non autorisé
2 octobre 2025 Activité suspecte détectée
9 décembre 2025 Fournisseurs concernés notifiés
Février 2026 Début des notifications aux clients
6 mars 2026 Le dépôt auprès du procureur général du Maine confirme 3,4 M de personnes affectées

Types de données exposées

Le temps de résidence de 317 jours (de l'accès initial à la détection) est particulièrement alarmant et souligne la nécessité d'une surveillance continue et d'une détection automatisée des menaces. Cognizant a déjà fait l'objet de critiques après l'incident du ransomware Maze en 2020 et une violation liée à Scattered Spider via son helpdesk.


🦠 VOID#GEIST : campagne de malware sans fichier multi-étapes

⚠️ Chaîne d'attaque sans fichier avancée

Les chercheurs de Securonix ont documenté VOID#GEIST, une campagne de malware sophistiquée multi-étapes qui délivre XWorm, AsyncRAT et Xeno RAT via des techniques d'exécution sans fichier.

Décomposition de la chaîne d'attaque

  1. Accès initial — Script batch récupéré depuis un domaine TryCloudflare via un e-mail de phishing
  2. Affichage de leurre — Chrome ouvre un faux PDF financier en plein écran comme distraction visuelle
  3. Exécution cachée — PowerShell réexécute le script batch avec -WindowStyle Hidden
  4. Persistance — Placement dans le répertoire de démarrage (aucune modification du registre, aucune élévation de privilèges)
  5. Récupération du payload — Téléchargement d'archives ZIP contenant du shellcode chiffré et un chargeur Python
  6. Exécution en mémoire — Le runtime Python déchiffre et injecte le shellcode via l'injection Early Bird APC dans explorer.exe

💡 Pourquoi c'est important

La campagne VOID#GEIST représente un virage plus large de l'industrie, des exécutables autonomes vers des frameworks de livraison modulaires basés sur des scripts. Chaque étape apparaît anodine isolément, imitant une activité administrative légitime. L'utilisation d'un runtime Python légitime embarqué provenant de python.org élimine les dépendances et contourne les listes blanches d'applications.

Payloads délivrés

RAT Capacités Fichier chiffré
XWorm Accès distant complet, keylogging, capture d'écran, persistance new.bin
AsyncRAT Communication C2 asynchrone, extensibilité par plugins, vol d'identifiants pul.bin
Xeno RAT RAT open-source avec HVNC, accès microphone/webcam xn.bin

🌐 Cisco SD-WAN & Rockwell ICS : d'autres exploits actifs

Cisco Catalyst SD-WAN

Cisco a confirmé que deux vulnérabilités Catalyst SD-WAN récemment corrigées — CVE-2026-20128 et CVE-2026-20122 — sont désormais activement exploitées dans la nature. Les organisations utilisant des configurations SD-WAN affectées doivent appliquer les correctifs immédiatement ou mettre en œuvre les solutions de contournement recommandées.

Vulnérabilité Rockwell Automation ICS

Une vulnérabilité Rockwell Automation initialement divulguée et corrigée en 2021 a été confirmée comme activement exploitée dans des attaques ciblant les systèmes de contrôle industriels. Cela met en lumière un défi persistant dans les environnements OT/ICS : même lorsque des correctifs existent, ils ne sont souvent pas appliqués en raison de contraintes opérationnelles et de préoccupations liées aux temps d'arrêt.

⚠️ Risque ICS/OT

Si votre organisation utilise des automates programmables industriels (API) Rockwell, vérifiez immédiatement l'état des correctifs. L'exploitation à distance des systèmes ICS peut entraîner la manipulation de processus physiques, le contournement des systèmes de sécurité et des perturbations opérationnelles.


🔒 Fermeture du forum LeakBase — 142 000 utilisateurs

Fait positif, le forum cybercriminel LeakBase a été fermé par les forces de l'ordre et des suspects ont été arrêtés. Le marché d'identifiants volés était actif depuis 2021 et comptait 142 000 utilisateurs inscrits échangeant des identifiants compromis, des données personnelles et des bases de données issues de violations.

Si les fermetures provoquent une perturbation temporaire, l'expérience montre que les utilisateurs déplacés migrent généralement vers des forums alternatifs en quelques semaines. Les organisations devraient profiter de cette fenêtre pour :


🛡️ Actions recommandées

Pour les équipes de sécurité d'entreprise

  1. Prioriser le correctif des produits d'entreprise — Les appliances VPN, les pare-feu et les produits de sécurité sont désormais les cibles principales des zero-days
  2. Déployer une analyse automatisée continue — Les évaluations manuelles de vulnérabilités ne peuvent pas suivre le rythme de plus de 90 zero-days par an
  3. Surveiller les schémas d'exécution sans fichier — Recherchez les fenêtres PowerShell cachées, les téléchargements de runtime Python et les signatures d'injection APC
  4. Réduire le temps de résidence — Les 317 jours de résidence de la violation TriZetto illustrent le coût d'une détection tardive
  5. Corriger les systèmes ICS/OT — D'anciennes vulnérabilités dans Rockwell et systèmes similaires sont activement exploitées des années après leur divulgation

Pour les organisations de santé

  1. Auditer la sécurité des portails web — La violation de TriZetto est née d'un portail web gérant les données d'éligibilité à l'assurance
  2. Implémenter la segmentation réseau — Limiter le rayon d'impact de toute compromission
  3. Déployer des analyses comportementales — Détecter les schémas d'accès non autorisés, en particulier pour les bases de données contenant des informations de santé protégées (PHI)
  4. Examiner la sécurité des fournisseurs tiers — La posture de sécurité de votre fournisseur est votre posture de sécurité