Le Microsoft Intelligence Center a signalé environ trois attaques zero-day visant VMware. Broadcom a signalé que ses clients avaient été victimes d'exploits, et les vulnérabilités concernées étaient CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226. Cela a eu un impact sur les produits VMware ESX, notamment Workstation, Telco Cloud Pattern, vSphere, VMware ESXi, Cloud Foundation et Fusion. Des débordements de pile VCMI, des failles de divulgation d'informations HGFS et des fuites de mémoire provenant des processus VMX se sont produits.
Le pilote BioNTdrv.sys de Paragon Partition Manager a également été récemment victime d'attaques par ransomware zero-day. Il était vulnérable au mappage arbitraire de la mémoire du noyau, à l'écriture et au déplacement de la mémoire, ce qui a ouvert la voie à des attaques Bring Your Vulnerable Driver sur des systèmes sans pilotes de périphériques. Le bug critique de PostgreSQL était lié à une attaque zero-day contre le Trésor américain.
Les zero-days deviennent un problème, entraînant des conséquences dévastatrices qui vont au-delà des violations de données. Ce guide explore les vulnérabilités zero-day. Nous apprendrons comment prévenir les attaques zero-day et les atténuer.
Que sont les attaques zero-day ?
Une attaque zero-day est une vulnérabilité ou une faille que les pirates informatiques trouvent dans le code d'une application ou toute autre opportunité qu'ils peuvent exploiter. Les exploits zero-day tirent parti des failles de sécurité non corrigées ou inconnues dans le matériel informatique, les logiciels et les micrologiciels. On parle d'attaque zero-day car le fournisseur dispose de zéro jour pour corriger le problème de sécurité. Les acteurs malveillants peuvent immédiatement exploiter ces vulnérabilités et accéder aux systèmes vulnérables.
Les développeurs de logiciels doivent publier des correctifs pour ces vulnérabilités et mettre à jour leurs programmes. Mais le mal est déjà fait à ce moment-là, et il est trop tard pour l'empêcher. Les attaques zero-day peuvent installer des logiciels malveillants, voler des données et même tuer des personnes. Elles peuvent causer beaucoup de dangers et semer le chaos parmi les utilisateurs, les organisations et les systèmes. Les attaques zero-day peuvent être des virus, des logiciels malveillants, des attaques par rançongiciel ou des menaces indétectables qui échappent aux technologies traditionnelles de détection basées sur les signatures.
Les vulnérabilités zero-day peuvent présenter des risques graves en raison de l'étendue stupéfiante de leur couverture d'attaque. Elles peuvent exposer des organisations entières et des milliers d'utilisateurs à la cybercriminalité jusqu'à ce que le fournisseur ou la communauté identifie et corrige le problème. Certaines vulnérabilités zero-day peuvent rester indétectées pendant des jours, des mois, voire des années, de sorte que les développeurs n'ont pas le temps de réagir et de les résoudre lorsqu'elles sont rendues publiques.
Les organisations sont prises au dépourvu lorsque les pirates exploitent ces failles avant que les fournisseurs ne puissent les corriger. C'est une course contre la montre. Et une fois que les pirates ont créé des exploits zero-day exploitables, ils peuvent lancer des attaques à plus grande échelle.
Pourquoi les attaques zero-day sont-elles si dangereuses ?
Les zero-day sont dangereux parce que vous ne savez pas à quoi vous avez affaire. L'étendue des dégâts est inconnue et il existe de nombreux dangers cachés, tels que des pertes financières, la détérioration de la réputation de votre entreprise et la création de points aveugles, c'est-à-dire des points aveugles supplémentaires que vous ne pouvez pas détecter rapidement ni corriger.
Imaginez la situation suivante. Imaginez que vous êtes novice en karaté et que vous êtes ceinture blanche. On vous a bandé les yeux et on vous a demandé d'affronter une ceinture noire. Le pire, c'est que vous n'êtes même pas doué en arts martiaux, donc les chances de perdre sont incroyablement élevées. Votre seule issue est de vous échapper et de planifier des contre-attaques afin de ne plus jamais croiser le chemin de ce ceinture noire.
Les attaques zero-day peuvent également provenir de failles dans le codage et les pratiques de conception. Les vulnérabilités de sécurité traditionnelles peuvent être corrigées à temps et sécuriser les applications, mais les vulnérabilités zero-day sont différentes. Il n'y a pas le temps de créer et de travailler sur des correctifs pour les systèmes. Il n'existe aucun correctif pour ces vulnérabilités. Cela signifie que vous devrez développer de nouveaux correctifs et de nouvelles solutions de sécurité.
Les attaques zero-day à fort impact peuvent entraîner des pertes allant de 500 000 à 2 millions de dollars, selon la cible et la plateforme.
Comment fonctionnent les attaques zero-day ?
Voici en quelques mots comment fonctionnent les attaques zero-day :
- Une vulnérabilité apparaît dans le code du logiciel, mais le fournisseur et le public n'en ont pas connaissance. Un pirate informatique la découvre finalement à l'aide d'outils automatisés et de tests.
- L'adversaire exploite alors ce code et tire parti de sa vulnérabilité. Il créera une variante malveillante et l'injectera dans le service web ou l'application, provoquant son dysfonctionnement.
- Cela lui permettra d'obtenir un accès non autorisé. Les dégâts commencent là et s'aggravent progressivement.
- Lorsque le fournisseur découvre le problème, il tente de le résoudre rapidement. Les utilisateurs et les organisations doivent corriger la vulnérabilité pour empêcher toute nouvelle exploitation et mettre fin à la violation.
Comment détecter les attaques zero-day ?
Les attaques zero-day tirent parti des failles de sécurité des programmes et des applications. Les pirates peuvent trouver des faiblesses dans le code source et créer du code malveillant à injecter dans les bases de données.
La détection des attaques zero-day n'est pas simple ; elle peut s'avérer difficile et compliquée. Pour identifier les vulnérabilités, vous devez définir des règles de corrélation prédéfinies et analyser les données existantes dans votre infrastructure. Une autre façon de détecter ces menaces consiste à suivre les mouvements internes.
Examinez les activités des utilisateurs à l'aide de technologies de détection, de journalisation et de surveillance continues des menaces. Les activités consignées dans les journaux de votre organisation peuvent vous informer de ce qui se passe, et les tableaux de bord consolidés peuvent également fournir des informations stratégiques en matière de sécurité.
Prévention et atténuation des attaques zero-day
Le déploiement d'une solution fiable de renseignements sur les menaces et d'un SIEM est essentiel pour collecter des données télémétriques et analyser les événements de sécurité. Ces solutions doivent être capables d'identifier plusieurs types de données provenant de sources diverses et de générer des alertes en temps réel dès qu'un écart est détecté. Vous pouvez rapidement enquêter sur ces anomalies avec votre personnel de sécurité et réduire les accès non autorisés. Complétez ces mesures par des activités proactives de recherche de menaces. Utilisez des analyses avancées pour rechercher des indicateurs de compromission (IoC) potentiels et menez des enquêtes approfondies.
Toutes ces tactiques vous aideront également à rationaliser les workflows de réponse aux incidents et à sélectionner les outils adaptés à la tâche. SentinelOne peut vous aider à automatiser les mesures de réponse, à personnaliser les politiques, à déclencher des alertes et à mettre instantanément en quarantaine ou à isoler les hôtes compromis ou les menaces, lorsqu'ils sont détectés. Il vous aidera également à bloquer automatiquement les adresses IP malveillantes, à sauvegarder les données et à minimiser l'impact des futurs incidents de sécurité.
Vous pouvez également prévenir et atténuer les attaques zero-day en prenant les mesures supplémentaires suivantes :
- Appliquez les correctifs à vos systèmes et mettez-les à jour rigoureusement. Procédez à un audit de toutes vos ressources, actifs, inventaires et utilisateurs. Analysez les données historiques des événements, recherchez des modèles et examinez en détail les anomalies passées. Elles vous donneront des indices sur les événements futurs.
- Appliquez le principe de l'accès avec les privilèges les plus restreints. Mettez en place une architecture de sécurité réseau " zero trust " et ne faites confiance à personne. Vérifiez toujours. En effet, la personne en qui vous avez confiance aujourd'hui pourrait devenir votre ennemie demain en trahissant votre organisation. Nettoyez les protocoles d'intégration et de départ et rendez-les plus stricts.
- Ne laissez pas les employés transmettre des données privées sur les réseaux publics. Encouragez une culture où ils peuvent signaler leurs découvertes de manière anonyme et garantissez une transparence totale. Une bonne communication est essentielle pour apprendre à prévenir les attaques zero-day et assurer une protection continue.
Améliorez votre veille sur les menaces
Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.
En savoir plusExemples concrets d'attaques zero-day
Voici quelques exemples concrets d'attaques zero-day qui se sont produites récemment en 2025 :
La cyberattaque zero-day contre Microsoft
Microsoft ne s'attendait pas à ce qu'une attaque zero-day cible plusieurs vecteurs. Kevin Breen, directeur principal chez Immersive, a déclaré : " Nous ne pensions pas que cela était possible. Les attaques zero-day ciblent généralement une seule plateforme ou un seul environnement de système d'exploitation. "
En février 2025, Microsoft a publié des mises à jour de sécurité pour 67 vulnérabilités dans son dernier correctif et les a déployées. Cependant, quatre attaques zero-day avaient déjà affecté le hachage NTLMv2 de Windows, le pilote de fonction auxiliaire de Windows, le stockage Windows et les appareils Microsoft Surface. L'exécution de code à distance et l'escalade de privilèges constituaient les principaux risques de sécurité. Trois nouvelles vulnérabilités ont affecté Hyper-V : CVE-2025-21335, CVE-2025-21333 et CVE-2025-21334.
Contournement de l'authentification JetBrains TeamCity Zero-Day
JetBrains a pris connaissance de sa vulnérabilité CVE-2023-42793 le 20 septembre 2023 et l'a divulguée. La vulnérabilité de contournement de l'authentification ciblait leur serveur CI/CD et leurs instances sur site. Les attaquants ont obtenu un accès non autorisé et ont lancé des attaques d'exécution de code à distance. La faille critique de contournement de l'authentification a été découverte quelques jours seulement après son exposition, ne laissant aucun temps pour une récupération immédiate.
Menace zero-day de MOVEit Transfer
Un groupe russe a étudié les problèmes d'injection SQL et a découvert une vulnérabilité zero-day dans MOVEit Transfer. Le groupe a ensuite lancé des attaques par ransomware contre des centaines d'organisations, notamment plusieurs universités, réseaux de santé, banques et agences gouvernementales.
Des échantillons de LEMURLOOT portant les noms de fichier human2.aspx et _human2.aspx ont été téléchargés sur de nombreux référentiels publics mondiaux. L'attaque s'est propagée et a même touché des organisations dans des pays comme le Pakistan et l'Allemagne.
Atténuez les attaques zero-day avec SentinelOne
SentinelOne utilise des algorithmes d'IA avancés pour analyser les ressources et bloquer les menaces zero-day, même celles qui sont inconnues. Sa plateforme Endpoint Detection and Response (EDR) offre une vue approfondie du réseau et de l'activité des utilisateurs, ce qui facilite la détection des menaces. SentinelOne peut étendre sa protection des terminaux avec Singularity XDR.
Singularity™ Threat Intelligence avec data lake et Purple AI peuvent collecter et corréler des données provenant de plusieurs sources. Le moteur comportemental de SentinelOne peut détecter et suivre les comportements malveillants dans les entreprises. Si quelque chose de suspect se produit ou si des écarts apparaissent, il le signale instantanément pour examen et correction. La prise en compte du contexte dans les informations sur les menaces de SentinelOne élimine les faux positifs, réduit le bruit des alertes et tient les organisations informées des notifications les plus pertinentes. SentinelOne peut simuler des attaques zero-day pour évaluer les possibilités grâce à son Offensive Security Engine™ et à ses Verified Exploit Paths™. Sa technologie brevetée Storylines™ permet de reconstituer des événements historiques, des artefacts et de mener des enquêtes cybercriminelles.
Les utilisateurs peuvent générer des rapports détaillés sur le système et la conformité directement à partir de son tableau de bord unifié. SentinelOne rationalise les audits de conformité et aide les organisations à respecter les meilleures normes réglementaires, telles que SOC 2, HIPAA, PCI-DSS et ISO 27001. Ses solutions sont soutenues par une solide communauté d'experts du secteur et d'utilisateurs qui partagent des informations utiles.
Le CNAPP sans agent offre une sécurité holistique et propose diverses fonctionnalités telles que : Kubernetes Security Posture Management (KSPM), Cloud Workload Protection Platform (CWPP), Gestion de la posture de sécurité dans le cloud (CSPM), analyse IaC, gestion de la posture de sécurité SaaS (SSPM), détection des secrets et prévention des fuites d'identifiants cloud, External Attack and Surface Management (EASM), évaluations de vulnérabilité, analyse des pipelines CI/CD, intégration Snyk, etc. La plateforme aide les utilisateurs à mettre en œuvre les meilleures pratiques DevSecOps dans les organisations et à réaliser des audits internes et externes.
Réservez une démonstration en direct gratuite.
Conclusion
Si les attaques zero-day semblent imparables, elles révèlent également une réalité plus profonde concernant notre cybermonde en constante évolution : nous façonnons chaque vulnérabilité découverte et sommes façonnés par celle-ci. La véritable résilience ne découle pas de l'utilisation des meilleures technologies, mais de la capacité à se défaire des mentalités complaisantes. En effet, les pirates informatiques ne s'attaquent pas seulement aux logiciels, mais aussi aux personnes.
En collaborant entre les différentes fonctions, en appliquant des tests rigoureux et en acquérant sans relâche des informations, nous pouvons créer des écosystèmes numériques où les attaques zero-day sont un stimulant et non les précurseurs du chaos.
Investissez dans des défenses proactives, promouvez une culture de sensibilisation à la cybersécurité et commencez à travailler sur votre sécurité. Contactez SentinelOne pour rester à la pointe et vous défendre.
"FAQs
Les attaques Zero-Day exploitent les vulnérabilités récemment découvertes dans les logiciels avant que les développeurs ne publient des correctifs. Les pirates trouvent ces failles de sécurité et créent des logiciels malveillants ou des méthodes de piratage pendant la brève période où la vulnérabilité est active.
Comme les défenseurs n'ont aucun délai pour réagir, les dégâts peuvent se propager extrêmement rapidement, infectant des systèmes critiques, volant des données ou infectant des réseaux entiers sans être immédiatement détectés.
Les fournisseurs et les chercheurs ont besoin d'un avertissement pour corriger les vulnérabilités. Une attaque " zero-day " se produit lorsque l'horloge arrive à zéro. L'attaquant exploite la vulnérabilité avant qu'un correctif ne soit disponible ou que le temps ne passe, ne laissant au fournisseur que " zéro jour " pour corriger ou se préparer. Cette contrainte de temps place les entreprises dans un dilemme et souligne la nécessité de faire face à ces menaces.
Tout le monde peut découvrir des vulnérabilités zero-day, des chercheurs en sécurité et des pirates informatiques éthiques aux cybercriminels. Les chercheurs éthiques informent généralement le fournisseur afin qu'il puisse publier un correctif, tandis que les acteurs malveillants exploitent la vulnérabilité à leur avantage.
Les agences gouvernementales financent également des efforts de recherche de bogues, et leurs découvertes restent parfois confidentielles, ce qui conduit à des spéculations sur une utilisation secrète à des fins d'espionnage.
Un marché zero-day est un marché commercial où des courtiers peuvent acheter des exploits auprès de chercheurs et de black hats. Il est utilisé pour acheter et vendre des failles de sécurité et mener des activités illégales. C'est le côté obscur du monde de la cybersécurité et il faut s'en méfier. Les transactions manquent de transparence et les prix peuvent sembler injustes.
La prévention et la découverte des attaques zero-day dépendent de la vigilance des équipes de sécurité et des outils de détection des anomalies. Des comportements inhabituels, un trafic de données suspect ou des plaintes d'utilisateurs peuvent déclencher une enquête.
Les professionnels de la sécurité déploient des sandbox, des honeypots et des solutions de surveillance avancées pour détecter les activités malveillantes en temps réel. Parfois, des découvertes accidentelles lors d'audits de routine révèlent des exploits zero-day. Les divulguer aux fournisseurs peut aider à développer rapidement des correctifs avant que des dommages importants ne se produisent.
Les grandes entreprises, les agences gouvernementales, les institutions financières et les prestataires de soins de santé figurent souvent en tête de liste des cibles des attaques zero-day. Ces entités stockent des données sensibles et gèrent des infrastructures critiques, ce qui en fait des cibles de choix pour l'espionnage, le sabotage ou le gain financier.
Les petites entreprises et les utilisateurs individuels ne sont pas non plus à l'abri ; les exploits zero-day peuvent se propager sans discernement à travers les logiciels couramment utilisés dans tous les secteurs, des systèmes d'exploitation aux applications web.
- Restez vigilant en mettant régulièrement à jour vos logiciels, car les correctifs corrigent souvent des vulnérabilités non divulguées.
- Activez les mises à jour automatiques lorsque cela est possible.
- Utilisez des antivirus et des pare-feu réputés pour surveiller et bloquer les activités suspectes.
- Adoptez de bonnes pratiques en matière de mots de passe et évitez de cliquer sur des liens inconnus ou de télécharger des fichiers provenant de sources non vérifiées.
En outre, envisagez d'utiliser des VPN sur les réseaux Wi-Fi publics. Réduire votre empreinte numérique peut diminuer les risques d'être victime d'une attaque de type " zero-day ".
Les organisations déploient généralement des protocoles d'intervention rapide, notamment en isolant les systèmes affectés et en effectuant une analyse forensic pour identifier la faille. Elles publient des correctifs d'urgence ou orientent les utilisateurs vers des solutions de contournement temporaires. Les équipes d'intervention en cas d'incident collaborent avec les chercheurs en sécurité, partagent les informations sur les menaces et renforcent les défenses périmétriques. Des tests de pénétration réguliers permettent également de découvrir les faiblesses avant que des acteurs malveillants ne le fassent. La formation continue du personnel renforce la sensibilisation, minimisant ainsi les risques de répétition des intrusions zero-day.
