Zero-day : les failles qui valent des millions

Les cyberattaques sans clic explosent. Chères, discrètes, fulgurantes, elles redéfinissent la sécurité numérique. Des primes records aux contre-mesures d’Apple, plongée dans une guerre de l’ombre où quelques lignes de code font basculer le monde.

L’étonnante origine du terme zero-day

Le terme zero-day trouve son origine dans la scène du piratage des années 1990. À l’époque, il désignait un logiciel cracké diffusé le jour même de sa sortie officielle – avec « zéro jour » de retard. Progressivement, le mot a migré vers la cybersécurité : il désigne désormais une faille logicielle inconnue de l’éditeur, donc sans correctif disponible. Découverte par des chercheurs ou exploitée par des hackers, une vulnérabilité zero-day peut ouvrir la voie à l’espionnage, au vol de données ou à la prise de contrôle d’un système. Aujourd’hui, un véritable marché s’est structuré autour de ces failles, certaines se négociant plusieurs millions de dollars.

La flambée des exploits zero-day : une course aux millions

Ces dernières années, la chasse aux failles critiques, ou zero-day, n’a jamais été aussi féroce. Les sommes en jeu donnent le vertige. En 2025, une jeune entreprise des Émirats Arabes Unis a bouleversé le marché : jusqu’à 20 millions de dollars offerts pour un exploit « zero-click » sur smartphone, permettant une intrusion totale via un simple message texte. La tarification est limpide : 15 millions pour Android ou iPhone, 10 pour Windows, 5 pour Chrome, un million seulement pour Safari ou Edge. Derrière ces chiffres démentiels se cachent parfois… quelques lignes de code.

L’iPhone face à la menace invisible

Remontons à la Tianfu Cup, rendez-vous chinois incontournable du hacking en 2021. Cette année-là, l’équipe Kunlun Lab prend pour cible un iPhone 13 Pro équipé d’iOS 15.0.2 – une forteresse logicielle, pense-t-on alors. Leur technique ? Exploiter une vulnérabilité dans Safari grâce à un code « zero-click » : aucune action de l’utilisateur requise. Quinze secondes plus tard, l’appareil est compromis et ses secrets exposés. Cette performance leur rapporte 120 000 dollars mais révèle surtout la fragilité même des systèmes les mieux protégés.

Une faille du moteur JavaScript suffit à accéder à la mémoire du téléphone. Ce procédé n’est plus rare : en huit ans, les primes ont explosé – de 1 million chez Zerodium en 2015 à plusieurs millions aujourd’hui chez Crowdfense. Une poignée d’experts déverrouillent ce que tout le monde pensait inviolable.

Pegasus et la riposte d’Apple : naissance du mode Isolement

Ce climat tendu s’explique par l’affaire Pegasus, dévoilée en 2021 par le consortium Forbidden Stories et Amnesty International. Le logiciel espion du groupe israélien NSO Group avait infiltré les smartphones de milliers de journalistes, militants ou chefs d’État sans qu’ils n’aient cliqué sur quoi que ce soit – une attaque invisible et redoutable : accès au micro, caméra, messages… Face à l’ampleur du scandale – qui touche aussi bien le Mexique que l’Inde ou l’Europe –, Apple porte plainte contre NSO Group et accélère sa défense.

Pour répondre à cette nouvelle génération d’attaques silencieuses baptisées « zero-click », Apple déploie alors un arsenal inédit : le mode Lockdown (Isolement), introduit avec iOS 16 après avoir corrigé la brèche repérée à la Tianfu Cup. Désormais activable par les utilisateurs exposés (journalistes d’investigation, opposants politiques…), ce bouclier coupe court aux scripts dangereux dans Safari et verrouille les pièces jointes suspectes.

L’éternelle dualité du code : menace et rempart

Peut-être faut-il y voir là toute l’ambivalence du numérique moderne : quelques lignes de code ouvrent des portes inespérées… mais bâtissent aussi des murailles infranchissables. Si Apple a récemment renforcé son dispositif grâce à l’intelligence artificielle, c’est bien parce que la frontière entre attaque et défense ne cesse de s’affiner.

La prochaine fois qu’une mise à jour surgira sur votre écran, souvenez-vous : derrière chaque correctif se cachent parfois quinze secondes capables de tout changer – pour le pire comme pour le meilleur.

Le Podcast