Un nouveau rapport de Google révèle qu’environ la moitié des bogues zero-day suivis l’année dernière exploitaient des appareils d’entreprise, marquant un nouveau record pour les pirates informatiques qui trouvent de plus en plus de nouveaux moyens de cibler les grandes entreprises et de voler leurs données.
Selon le rapport annuel du géant de la recherche et de la sécurité, 48 % des vulnérabilités zero-day suivies – des vulnérabilités dans des logiciels inconnues de leur fabricant au moment où elles sont exploitées – ont été trouvées dans des technologies utilisées par des entreprises et des grandes entreprises. Environ la moitié de ces failles Zero Day exploitaient les appareils conçus pour protéger les réseaux d’entreprise contre les intrus numériques.
Google a déclaré que les dispositifs de sécurité et de réseau, tels que les pare-feu fabriqués par Cisco et Fortinet, ainsi que les plates-formes VPN et de virtualisation comme Ivanti et VMware, figuraient parmi les principaux fournisseurs ciblés l’année dernière. Les quatre sociétés ont déclaré que des pirates informatiques avaient exploité leurs produits sur les réseaux de leurs clients au cours des derniers mois.
Les chercheurs de Google ont déclaré que les pirates ont exploité des failles courantes, telles que la validation des entrées et les processus d’autorisation incomplets, pour briser les pare-feu et les défenses VPN afin d’accéder aux réseaux des clients. Ces classes de bogues sont généralement plus faciles à exploiter, mais nécessitent généralement une mise à jour logicielle pour être corrigées.
La société a également souligné d’autres logiciels bogués qui représentent la moitié restante des zéro-days d’entreprise. Google a souligné la campagne d’extorsion menée par le gang Clop contre les clients d’Oracle E-Business Suite, qui a permis aux pirates de repartir avec des tonnes de données sur les ressources humaines de dizaines d’entreprises concernant leur personnel et leurs dirigeants. Les piratages ont touché, entre autres, l’Université Harvard, la filiale Envoy d’American Airlines et le Washington Post.
Les 52 % restants des bogues zero-day ont été trouvés dans des produits grand public et utilisateurs finaux, tels que ceux fabriqués par Microsoft, Google et Apple, selon le rapport. La plupart des zéros jours dans les logiciels grand public ont été détectés dans les systèmes d’exploitation, les appareils mobiles étant également confrontés à plus de zéros jours que les années précédentes.
Google a déclaré qu’il attribuait également plus de zéro jour aux fournisseurs de services de surveillance qu’aux groupes d’espionnage traditionnels soutenus par le gouvernement. Les fournisseurs de services de surveillance sont généralement des créateurs de logiciels espions et des développeurs d’exploits qui travaillent pour le compte des gouvernements pour pirater les téléphones des gens. Google a déclaré que ce changement démontrait « un mouvement lent mais sûr dans le paysage » dans la manière dont les gouvernements cherchent à accéder aux outils de piratage.
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
