Qu’est-ce qu’une faille zero-day, et pourquoi ça nous concerne tous ?
Si vous suivez un peu l’actualité technologique, vous avez forcément croisé le terme zero-day ces dernières années. Derrière ce mot anglais un peu mystérieux se cache une réalité très concrète : une faille de sécurité inconnue du fabricant du logiciel ou du système concerné, et donc non corrigée. Le « zéro jour » fait référence au nombre de jours que l’éditeur a eu pour réagir — c’est-à-dire aucun. Ces vulnérabilités sont particulièrement dangereuses car elles peuvent être exploitées librement par des attaquants, parfois pendant des semaines ou des mois, avant même qu’une mise à jour de sécurité n’existe. En 2025, la situation ne s’est pas améliorée : au contraire, le rythme de découverte et d’exploitation de ces failles s’est accéléré, alimenté en partie par la démocratisation des outils d’intelligence artificielle qui facilitent la détection automatisée de vulnérabilités.
Les failles les plus critiques identifiées en 2025
Depuis le début de l’année 2025, plusieurs zero-days ont fait trembler la communauté de la cybersécurité mondiale, et par ricochet, les entreprises et institutions françaises qui s’appuient sur les mêmes technologies. Parmi les cas les plus marquants, on retiendra en premier lieu la faille CVE-2025-0282, découverte en janvier dans les appliances VPN d’Ivanti, un produit massivement utilisé par les entreprises pour sécuriser leurs accès distants. Activement exploitée avant même la publication du correctif, elle a permis à des groupes d’attaquants — dont certains liés à des États — d’infiltrer des réseaux d’entreprises et d’administrations à travers le monde, y compris en Europe. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) avait d’ailleurs rapidement émis une alerte à destination des organisations françaises concernées.
Dans un registre différent mais tout aussi préoccupant, les produits Microsoft ont une nouvelle fois concentré une part importante des zero-days exploités en 2025. Lors du Patch Tuesday d’avril, Microsoft corrigeait pas moins de cinq vulnérabilités zero-day activement exploitées, dont une élévation de privilèges dans le noyau Windows (CVE-2025-29824) permettant à un attaquant disposant d’un accès limité à une machine d’en prendre le contrôle total. Ce type de faille est particulièrement prisé des groupes de ransomware, qui s’en servent comme porte d’entrée vers des systèmes plus sensibles au sein des réseaux d’entreprise.
Les navigateurs web et les équipements réseau, cibles privilégiées
Les navigateurs restent en 2025 l’un des vecteurs d’attaque les plus exploités via des zero-days. Google Chrome a dû publier plusieurs mises à jour d’urgence en début d’année pour corriger des failles dans son moteur JavaScript V8, permettant l’exécution de code malveillant simplement en visitant une page web piégée. Ces attaques dites drive-by download sont redoutables car elles ne nécessitent aucune action particulière de la victime, si ce n’est naviguer sur un site compromis. Mozilla Firefox n’a pas été épargné non plus, avec une faille critique corrigée en urgence en février après que des chercheurs en sécurité ont démontré son exploitation lors du concours Pwn2Own de Vancouver.
Du côté des équipements réseau, les routeurs et pare-feux de grandes marques comme Palo Alto Networks, Fortinet ou Cisco ont été au cœur de plusieurs alertes majeures. Une faille dans le pare-feu PAN-OS de Palo Alto (CVE-2025-0108), rendue publique en février, permettait à un attaquant non authentifié d’accéder à l’interface d’administration de l’appareil via le réseau. Des milliers d’équipements exposés sur Internet ont été scannés de manière automatisée dans les heures suivant la divulgation, illustrant à quel point la fenêtre entre la publication d’une faille et son exploitation massive s’est réduite à peau de chagrin. Pour les PME françaises qui s’appuient sur ce type de matériel sans disposer d’une équipe dédiée à la sécurité, le risque est particulièrement élevé.
Le rôle croissant de l’intelligence artificielle dans la découverte des zero-days
L’un des phénomènes les plus marquants de 2025 est sans conteste la montée en puissance de l’IA comme outil de découverte de vulnérabilités, des deux côtés du spectre. Du côté défensif, des entreprises françaises comme Synacktiv, régulièrement au palmarès des compétitions internationales de hacking éthique, utilisent désormais des outils d’analyse automatisée basés sur des modèles de langage et d’analyse de code pour identifier des failles dans des logiciels complexes beaucoup plus rapidement qu’auparavant. Google a également annoncé que son projet Big Sleep, un agent IA dédié à la recherche de vulnérabilités, avait permis de découvrir une faille zero-day réelle dans SQLite dès fin 2024, ouvrant la voie à une nouvelle ère dans ce domaine.
Mais cette médaille a un revers inquiétant. Les mêmes capacités sont accessibles — parfois de manière détournée — à des acteurs malveillants. Des chercheurs ont démontré qu’il était possible d’utiliser des LLM (grands modèles de langage) pour automatiser la recherche de vulnérabilités dans des bibliothèques open source, réduisant considérablement le temps et les compétences nécessaires pour trouver une faille exploitable. La démocratisation de ces outils pose une question fondamentale à laquelle les régulateurs français et européens commencent à s’attaquer : comment encadrer l’usage offensif de l’IA en matière de cybersécurité, sans freiner l’innovation défensive ?
Comment se protéger face à des menaces par définition imprévisibles ?
Face à des failles qui, par nature, ne sont pas encore connues ni corrigées, la protection absolue n’existe pas. Mais plusieurs bonnes pratiques permettent de réduire significativement son exposition. La première et la plus fondamentale reste la mise à jour rapide des systèmes dès qu’un correctif est disponible. Si les zero-days sont imprévisibles, les failles corrigées mais non patchées représentent statistiquement un risque bien plus grand pour la majorité des organisations. En France, l’ANSSI rappelle régulièrement cette priorité dans ses guides et recommandations, notamment à destination des collectivités locales et des hôpitaux, qui restent des cibles fréquentes.
Au-delà des mises à jour, la segmentation des réseaux, le principe du moindre privilège (n’accorder aux utilisateurs que les droits strictement nécessaires à leur activité) et la mise en place de solutions de détection comportementale — capables d’identifier un comportement anormal même en l’absence de signature de malware connue — sont des leviers essentiels. En 2025, la cyber-résilience n’est plus une option réservée aux grandes entreprises : avec la multiplication des attaques par rebond ciblant les sous-traitants pour atteindre de plus grandes structures, chaque maillon de la chaîne compte. Les zero-days de cette année nous le rappellent avec une acuité particulière.