Les attaques informatiques orchestrées par des gouvernements sont-elles devenues la principale menace pour nos appareils et nos données personnelles ? À l’heure où Google publie un rapport révélant que la majorité des exploits zero-day attribués en 2024 sont le fait d’acteurs étatiques, il est légitime de s’inquiéter : qui profite vraiment de la vulnérabilité de systèmes que nous pensions sûrs ?
Selon Google, si le nombre total de failles zero-day exploitées est passé de 98 en 2023 à 75 en 2024, ce sont bien les hackers agissant au nom d’États qui sont derrière la plupart des attaques dont l’origine a pu être identifiée. Peut-on vraiment parler de progrès quand, sur ces 75 cas, 23 sont le fait de gouvernements – et surtout, de gouvernements n’ayant pas forcément à cœur de protéger la vie privée de leurs citoyens ? La Chine et la Corée du Nord figurent en tête, chacune liée à cinq exploits majeurs. Faut-il dès lors craindre une guerre invisible où chaque téléphone devient un champ de bataille potentiel ?
Le dossier ne s’arrête pas là : au-delà des agents officiels, le paysage s’obscurcit davantage avec la montée en puissance des faiseurs de spyware commerciaux, à l’instar de la sulfureuse NSO Group. Huit zero-days recensés proviennent de ces vendeurs de surveillance, qui prétendent ne cibler que des États. Mais à quels États ? À quel type d’opérations ces failles sont-elles exploitées ? L’exemple de la Serbie, où des bugs furent activement utilisés pour infecter le téléphone d’un journaliste par les autorités, laisse craindre le pire pour la liberté de la presse et la sécurité des militants.
Le cyber-espionnage gouvernemental s’intensifie pendant que les failles de sécurité zero-day se font plus rares, mais toujours plus ciblées.
Face à cette prolifération des outils d’espionnage, les sociétés de cybersécurité peinent à suivre : chaque fois qu’un fournisseur disparaît sous la pression médiatique ou judiciaire, un autre vient prendre sa place. L’industrie du contrôle étatique est-elle trop lucrative pour s’éteindre d’elle-même ? Pour James Sadowski, analyste chez Google, la persévérance des gouvernements à défaut de rentabilité privée maintiendra ce marché vivace et dangereux.
Le reste des attaques zero-day, soit onze failles, est attribué au cybercrime traditionnel, principalement opérateurs de ransomwares et hackers à la recherche de failles dans les réseaux d’entreprise, routeurs ou VPN. Mais là encore, la frontière entre l’intérêt privé et l’intérêt d’État s’estompe : qui profite réellement de ces découvertes ? Peut-on encore distinguer le cyberespionnage du « simple » piratage financier ?
D’un point de vue plus positif, les éditeurs de logiciels semblent néanmoins progresser sur le terrain défensif. Les mobiles et navigateurs sont aujourd’hui plus difficiles à percer qu’auparavant, notamment grâce à des dispositifs comme le Lockdown Mode d’Apple ou la Memory Tagging Extension des processeurs Pixel de Google. Cela suffira-t-il à inverser la tendance dans une course technologique sans fin entre offense et défense ?
En publiant des études détaillées, Google apporte des éléments chiffrés précieux, mais met aussi en lumière la difficulté centrale de l’attribution des attaques zero-day : combien de failles échappent encore aux radars ? À mesure que les États perfectionnent leurs tactiques d’invisibilité numérique, notre capacité à comprendre et anticiper le cyberconflit ne risque-t-elle pas de s’amenuiser ?
Source : Techcrunch
