En 2025, Google a recensé 90 vulnérabilités zero-day exploitées dans des attaques réelles. Si le volume reste relativement stable d’une année sur l’autre, la répartition des cibles évolue nettement.
Pas d’explosion du nombre de failles zero-days observées en 2025, mais un niveau toujours élevé. Dans leur bilan annuel publié le 5 mars dernier, les équipes du Google Threat Intelligence Group (GTIG) ont indiqué avoir suivi 90 vulnérabilités exploitées dans des attaques alors qu’aucun correctif n’était encore disponible. Ce total dépasse celui de 2024, qui s’établissait à 78 failles, mais reste inférieur au record de 2023 et ses 100 zero-days. Sur les cinq dernières années, le volume annuel oscille ainsi entre 60 et 100 cas, révélateur d’une activité soutenue mais plutôt stable.
Les infrastructures d’entreprise de plus en plus dans le viseur
Au-delà du chiffre lui-même, le rapport met surtout en évidence un déplacement progressif des cibles. Sur ces 90 vulnérabilités, 43 concernaient des technologies d’entreprise, que les attaquants ciblent de plus en plus. Google souligne d’ailleurs qu’il s’agit de la proportion la plus élevée depuis que le groupe suit ce type d’exploitation.
Dans le détail, les analyses menées par les chercheurs révèlent que les campagnes d’exploitation se tournent davantage vers les composants qui assurent le fonctionnement et la sécurité des infrastructures informatiques. Équipements réseau, solutions de sécurité, passerelles VPN ou plateformes de virtualisation figurent ainsi régulièrement parmi les systèmes touchés. Les acteurs malveillants cherchent à compromettre ces équipements afin d’obtenir un accès stratégique à l’environnement ciblé, d'observer une partie du trafic réseau et, dans certains cas, de progresser vers d’autres systèmes internes.
Ce choix tient aussi à la position particulière qu’occupent ces équipements dans l’architecture des réseaux. Souvent placés en périphérie de l’infrastructure, ils concentrent une part importante des communications et disposent de privilèges élevés dans le fonctionnement du réseau. Dans le même temps, ils ne bénéficient généralement pas d’outils de détection comparables aux solutions antivirus et EDR déployées sur les postes de travail ou les serveurs, ce qui peut compliquer l’identification d’une compromission.
Les plateformes destinées aux utilisateurs continuent toutefois de concentrer une part importante des attaques. Les systèmes d’exploitation restent la catégorie la plus touchée, avec 39 zero-days recensées en 2025, dont 24 sur des systèmes de bureau et 15 sur mobile. À l’inverse, les navigateurs occupent désormais une place plus réduite. Selon Google, les vulnérabilités exploitées dans ces logiciels représentent moins de 10 % des cas observés cette année, un recul que l’entreprise attribue notamment au renforcement progressif de leurs protections intégrées.
Spywares commerciaux en tête, États et cybercriminels toujours actifs
Autre fait marquant du rapport, les fournisseurs de logiciels espions commerciaux, comme NSO Group (Pegasus) ou Intellexa (Predator), apparaissent désormais comme les principaux exploitants de failles zero-day, alors que ce rôle revenait traditionnellement aux groupes d’espionnage étatiques, dont certains s’appuient dorénavant sur ces entreprises privées pour mener leurs opérations.
Les États restent néanmoins très présents dans l’exploitation directe de ces vulnérabilités, les groupes liés à la Chine demeurant les plus prolifiques parmi les acteurs étatiques, avec au moins 10 zero-days attribuées en 2025. Leur activité s’inscrit aussi dans une évolution plus large : les exploits circulent davantage entre différents groupes et certaines vulnérabilités sont à présent exploitées peu de temps après leur divulgation publique.
Les motivations financières continuent enfin de peser dans cet écosystème, Google ayant identifié 9 failles zero-day exploitées en 2025 par des groupes impliqués dans des campagnes d’extorsion ou de ransomware. Un niveau proche du record observé en 2023, qui confirme que ces vulnérabilités ne sont plus l’apanage des seules opérations de cyberespionnage mais alimentent aujourd’hui des campagnes aux objectifs bien plus variés.
D'après le GTIG, cette dynamique devrait se poursuivre dans les années à venir, moins sous l’effet d’une hausse massive du nombre d’attaques que d’une diversification progressive des cibles et des techniques, l’IA pouvant encore accélérer la découverte de vulnérabilités et le développement d’exploits.
Source : Google Threat Intelligence Group
